Blogs

WordPress เพิ่มความปลอดภัยกับ Hosting

วิธีการเพิ่มความปลอดภัยเว็บไซต์ Wordprss กับ Hosting

เกือบทุกผู้ใช้บริการ Hosting จะมีการโฆษณาเสมอว่าเป็นระบบความปลอดภัยที่ดีที่สุดสำหรับ WordPress แต่เรายังสามารถเพิ่มความปลอดภัยให้กับเว็บไซต์ของเราได้อีกทาง

1.ป้องกันไฟล์ wp-config.php

ไฟล์ wp-config.php เก็บข้อมูลสำคัญเกี่ยวกับการติดตั้ง WordPress ทั้งหมด เป็นไฟล์ที่มีความสำคัญที่สุดในไฟล์ root directory การป้องกันไฟล์นี้ถือเป็นการเพิ่มความปลอดภัยให้กับเว็บไซต์ WordPress ของคุณด้วย เราจะต้องทำการเพิ่มความยากให้กับ Hacker ไม่เข้าถึงไฟล์นี้ได้ง่าย เราจะต้องทำการย้ายไฟล์ไปยังโฟเดอร์ที่มีความปลอดภัยสูงขึ้น แต่สำหรับคนที่ไม่รู้ว่าไฟล์ wp-config.php อยู่ที่ไหน ให้เราทำการเข้าไปที่การจัดการไฟล์ ของ Hosting จะอยู่ที่ root directory ของไฟล์ WordPress ทั้งหมดที่เราวางไว้

 2.ไม่อนุญาตให้แก้ไขไฟล์

ถ้า Admin User ในหน้า Dashboard สามารถแก้ไขไฟล์ได้ที่เป็นไฟล์ในการติดตั้งของ WordPress Theme Plugin  ถ้าเราไม่ต้องการให้ใครแก้ไขไฟล์เหล่านี้ได้  ถ้าเกิดเหตุการณ์ที่ Hacker สามารถเขาถึงในส่วนของหน้า Dashboard เขาเราได้ เรามีวิธีป้องกันอย่างไร วิธีในการป้องกันคือให้เราเพิ่มคำสั่งนี้ลงไปในไฟล์ wp-config.php จะทำให้ไม่สามารถแก้ไขไฟล์ได้จากหน้า Dashboard

define('DISALLOW_FILE_EDIT', true);

3.เชื่อต่อกับ Serverv อย่างถูกต้อง

การเชื่อมต่อผ่านช่องทาง SFTP หรือ SSH เท่านั้น  SFTP เป็นการเชื่อมต่อที่มีความปลอดภัยที่มีความสูงกว่า FTP  แบบเดิม

4.ตั้งค่า Directory Permissions  ไฟล์อย่างถูกต้อง

สิทธิ์ในไดเรกทอรีที่ไม่ถูกต้องอาจทำให้เว็บพังได้โดยเฉพาะอย่างยิ่งถ้าเราใช้เว็บ Hosting ร่วมกันหลายเว็บ ให้เราทำการเปลี่ยนสิทธิ์ในการเข้าถึงไฟล์เป็น “775”  และไฟล์ “664” จะช่วยป้องกันโฟอเอร์และไฟล์ในโฟเดอร์ทั้งหมด เราสามารถตั้งค่า Permissions ได้จากการจัดการไฟล์ของ Dashboard Hosting หรือในโปรแกรม FTP Server ต่างๆ สำหรับข้อมูลเพิ่มเติมดูได้จากเว็บของ WordPress Changing File Permissions

5.ป้องกันรายชื่อ directory listing ด้วย .htaccess

สำหรับโดยปกติถ้าเราเพิ่มโฟเดอร์ในเว็บไซต์ของเรา และถ้าเว็บไซต์ไม่มีไฟล์ index.html เว็บจะแสดงโฟเดอร์ทั้งหมดของเว็บไซต์เราและเข้าถึงได้เหมือนเป็นเจ้าของเว็บไซต์ เช่น “https://www.example.com/data/” ในเว็บบราว์เซอร์ เราจะเข้าถึงไฟล์โดยไม่ต้องมีรหัสผ่านอะไรเลย แต่เราจะป้องกันแบบนี้ได้อย่างไร เราสามารถเพิ่มคำสั่งลงในไฟล์ .htaccess

Options All -Indexes

6.Block all hotlinking

ถ้ามีการค้นหารูปภาพออนไลน์และไปเจอภาพในเว็บเราและเขาจ้องการแชร์ภาพนั้นไปเป็นของเขาเขาต้องได้รับการอนุญาตหรือจ่ายเงินให้กับภาพนั้นก่อน แต่ถ้าไม่มีการป้องกันเขาจะเข้าถึงไฟล์เหล่านี้ได้โดยตรง และนำภาพนั้นไปใช้ในพื้นที่อื่นๆด้วย จากเหตุการณ์ที่เกิดขึ้นนี้เห็นได้เลยว่าเราไม่สามารถควบคุมรูปภาพของเราได้เลย แต่ถ้าเรากำลังต้องการแก้ปัญหาการเชื่อมต่อแบบ hotlinking  ป้องกันการขโมยรูป และลด bandwidth ของเซิร์ฟเวอร์ เราสามารถจะใช้ปลั๊กอิน All in One WP ช่วยในการตั้งค่านี้ได้ เพื่อปิดกันการเชื่อมต่อทั้งหมด

7.ป้องกัน DDoS attacks

การโจมตีแบบ DDoS เป็นการโจมตีแบบที่จะมีการส่ง bandwidth จำนวนมากเข้ามาที่เว็บไซต์ขอเรา ถึงแม้การโจมจีนี้จะไม่ส่งผลเสียต่อไฟล์ในเว็บไซต์แต่ จะทำให้ผู้ใช้งานไม่สามารถเข้าเว็บไซต์ได้ถ้าเป็นเว็บไซต์ บริษัท เว็บขายของออนไลน์ หรือเว็บอื่นๆ จะทำให้เกิดความเสียหายจำนวนมาก เพราะจะเสียโอกาสทางการค้าไป ส่วนใหญ่เหตุการณ์แบบนี้จะเกิดจาดกลุ่มผู้ก่อการร้ายในโลกไซเบอร์ มีแรงจุงใจบางอย่างเพื่อสร้างความเสียหายให้กับเจ้าของเว็บไซต์ สำหรับการป้องกันนี้ ผมแนะนำให้ใช้ Cloudflare  หรือ Sucuri firewalls เพื่อป้องกัน bandwidth และ block out DDoS attacks ก่อนที่จะมีการเข้ามาถึงเว็บไซต์